fu123 10 Geschrieben 4. Oktober 2007 Melden Teilen Geschrieben 4. Oktober 2007 Hi, hab gerade mal ne Frage., weil ich nicht der große ASA Spezi bin. Ich soll eine Failover active/active Konfiguration mit vier 5510 machen Version 7.2(2). Zwei Standleitungen mit jeweils VLANs drauf. Die VLANs sollen auf den ASA's terminieren. Frage für mich jetzt mal gleich an der Stelle, wie kann man das umsetzten? Kann die ASA trunken? Die ASA's müssen untereinander über eine Leitung verbunden werden? Die Site to Site VPN Tunnel lassen sich sicherlich über das Applet konfigurieren. Muss man das erst noch registrieren oder kann man gleich loslegen? Irgendwas auf das man besonders achten sollte? Fu Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 4. Oktober 2007 Melden Teilen Geschrieben 4. Oktober 2007 Active/Active geht meines Wissens nach erst mit der 5520 und dann aber auch "nur" mit zweien. (wie soll das mit 4 Stück gehen???) Die ASA kann trunken und die Failover-Scenario kannst Du komplett über VLANs abwickeln. Site-to-Site geht am einfachsten über den ADSM. Registrieren, wofür? 3DES/AES ist enthalten. ASA Series Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 4. Oktober 2007 Autor Melden Teilen Geschrieben 4. Oktober 2007 Hi, in deiner Tabelle steht sogar das die es kann. Ist im Sec Plus enthalten. Also Hintergrund, zwei Standleitungen und jeweils zwei Firewalls auf einer Seite. Dann beide sollen gleichzeitig benutzt werden und im Failover eingesetzt werden. Ich habe das Szenario schon gesehen. Ist von der Umsetzung nicht so einfach. Meld mich vielleicht noch mal, wenn ich mehr im Thema bin. Bin mir noch nicht ganz klar wie das letztendlich auch in der Hardwareconfig aussehen soll. Such noch nach einem Link. Fu Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 4. Oktober 2007 Autor Melden Teilen Geschrieben 4. Oktober 2007 Configuring ASA and PIX Security Appliances - Training Resources - Cisco Systems Hier steht was Nettes. Mit Flashanimationen zu verschiedenen Themen. Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 4. Oktober 2007 Autor Melden Teilen Geschrieben 4. Oktober 2007 Ich hab das mit den unterschiedlichen Kontexten noch nicht verstanden? Ist das wie bei HSRP? Das beide ein Gateway zur Verfügung stellen und dann z.B. abwechselnd auf ARP Requests antworten, wenn beide Active/Active sind? Fu Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 5. Oktober 2007 Melden Teilen Geschrieben 5. Oktober 2007 Ich hab das mit den unterschiedlichen Kontexten noch nicht verstanden?Ist das wie bei HSRP? Das beide ein Gateway zur Verfügung stellen und dann z.B. abwechselnd auf ARP Requests antworten, wenn beide Active/Active sind? Fu Ich hab´s bis jetzt auch nur einmal im Kurs gemacht. Bei meiner config bin ich noch nicht so weit und deshalb auch nicht so im Thema. Mit der 5510 Security Plus hast Du recht, solange Du die Version 8 einsetzt. Mit 7.X gabs nur active/standby. Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 5. Oktober 2007 Autor Melden Teilen Geschrieben 5. Oktober 2007 Ich hab´s bis jetzt auch nur einmal im Kurs gemacht. Bei meiner config bin ich noch nicht so weit und deshalb auch nicht so im Thema. Mit der 5510 Security Plus hast Du recht, solange Du die Version 8 einsetzt. Mit 7.X gabs nur active/standby. Ne, 7.2(2) kann das auch. Cisco Security Appliance Command Line Configuration Guide, Version 7.2 - Sample Configurations [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems Fu Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 5. Oktober 2007 Melden Teilen Geschrieben 5. Oktober 2007 Ne, 7.2(2) kann das auch. Fu Hast gewonnen ;) Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 5. Oktober 2007 Autor Melden Teilen Geschrieben 5. Oktober 2007 Hi, hat den jemand mal einen Tip zu Kontexten? Am besten mal etws Hintergrund zur Implementation. Fu Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 9. Oktober 2007 Autor Melden Teilen Geschrieben 9. Oktober 2007 Zur Info: Active/Active Konfig mit VPN (IPSec) geht nicht. Also die Ausgangsvorausetzung wird nicht erfüllt. Ein wichtiger Punkt. Active/Active ist nur im Multiple Context möglich und dann geht kein VPN. Also nur als Active/Standby möglich. Somitist eine Router Lösung mit VPN und z.B. OSPF besser. Fu Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 10. Oktober 2007 Melden Teilen Geschrieben 10. Oktober 2007 Wo hast Du diese Info her? Bin gerade auf dem besten Wege zwei ASA´s mit active/active und meheren VPN´s in Betrieb zu nehmen. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 10. Oktober 2007 Melden Teilen Geschrieben 10. Oktober 2007 Das ist definitiv so. Im Cisco ASA Buch (1st Edition) steht das auch drin, das behandelt aber nur Version 7.0 Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 10. Oktober 2007 Melden Teilen Geschrieben 10. Oktober 2007 Das ist definitiv so. Im Cisco ASA Buch (1st Edition) steht das auch drin, das behandelt aber nur Version 7.0 Welches Buch meinst Du? Ich habe das ASA Firewall Handbook Vers.7 von ciscopress und die Original Cisco Schulungsunterlagen und dort finde ich nichts. Kannst Du mir auf die Sprünge helfen? Zitieren Link zu diesem Kommentar
fu123 10 Geschrieben 10. Oktober 2007 Autor Melden Teilen Geschrieben 10. Oktober 2007 Schau mal in der Doku, es gibt da eine Tabelle in der es auch drin steht. Ansonsten probier es einfach aus. Mach ein "mode multiple" und schau ob du deine crypto Befehle noch absetzen kannst. Das ist dann nämlich nicht mehr der Fall. Den VPN Wizard gibt es dann auch nicht mehr im ASDM. Ich denk mal das ist eine wichtige Info hier. Für alle die mal eben Active/Active machen, aber ein VPN auch gerne laufen lassen wollen. Fu Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 10. Oktober 2007 Melden Teilen Geschrieben 10. Oktober 2007 Cisco ASA: All-in-one Firewall (1st edition). Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.